以下、本発明の実施の形態を図面に基づいて説明する。
預貯金口座の開設時、携帯電話の契約時、施設入退室カードの発行時などでは、窓口での本人確認が常に行われている。本人確認の基本は、利用者が身元確認のために運転免許証などの公的身分証を窓口に提示し、窓口の担当者等が利用者と公的身分証とを目視確認することである。しかしながら、目視確認では、巧妙に偽造された身分証、身分や資格などを偽装した身分証等を見破ることが困難な場合がある。
また、不正に取得した預貯金口座や携帯電話などが組織犯罪、詐欺、窃盗、サイバー犯罪などの犯罪インフラとして利用された場合、上述した目視確認さえも行われることがないため、治安における重大な脅威となっている。
暗証番号により保護された、IC化された公的身分証の場合には、ICチップに記録されている電子署名をPKI(Public-Key Infrastructure)技術による署名検証(証明書検証も含む)で真贋判定(以下、IC認証)が行われる。以下、IC化された公的身分証を、「認証ICカード」という。
しかしながら、利用者が暗証番号を忘却している場合には、IC認証が行えない。特許文献1は、このような状況を鑑み、暗証番号による認証を行う認証ICカードとは異なる自媒体を識別する媒体識別情報であって、一意に定められた媒体識別情報が記憶された可搬媒体を用意し、可搬媒体に記憶されている媒体識別情報と紐づけて暗証番号を保管する技術を開示している。
この関連技術では、暗証番号を入力せずともIC認証が行え、ICチップ内のデータ読込みが可能となる。よって、認証ICカードの利用にあたっては、利用者の暗証番号の忘却対策などは実現できるものの、認証ICカード以外に別の可搬媒体を必要とするため、利用者は常に複数枚のカードを所持しなければならない。
認証ICカード以外の可搬媒体を所持する代わりに、特許文献2及び3等で、生体情報を用いることが考えられる。
特許文献2は、IC媒体に記憶されているIDに相当するフリーデータと生体情報とを関連付け、また、生体情報と暗証番号とを関連付けて夫々のデータベースに保管することを提案している。
特許文献2では、フリーデータ(ID)に対応付けられる生体情報で生体認証を行い、認証が成功した場合に、生体情報に関連付けられた暗証番号をデータベースから取得して、IC認証に利用する。
特許文献3では、認証ICカードの暗証番号を登録する際に、認証ICカードの利用者の生体情報により暗号鍵を生成し暗証番号を暗号化して保管し、暗証番号を利用する際には、生体情報により暗号鍵を生成し、暗証番号を復号する。復号された暗証番号を用いて、認証ICカードへのアクセスが可能となる。
しかしながら、生体情報を用いて暗証番号を保管する技術では、利用者による生体情報の入力等のばらつきによって、入力される生体情報に揺らぎが発生するため、毎回同じ生体情報を生成することが困難である。従って、利用者による生体情報の入力のリトライが発生し易い。
従って、本実施例において、生体情報の揺らぎによる生体情報の一意性を課題とし、暗証番号やパスワードなどの秘匿情報を、利用者の記憶に頼らず、安心かつ安全に記録し保管する、秘匿情報記憶方法、秘匿情報記憶プログラム、及び情報処理装置を提供する。
本実施例では、生体情報より生成したパスフレーズと管理番号(例えば、運転免許番号など)から暗号鍵を生成し、暗証番号等の秘匿情報を暗号化してデータセンター等のデータベースに登録し、安心かつ安全な保管維持を実現させて秘匿情報を記録する。
上述した生体情報を用いた関連技術では、生体情報を暗号鍵に用いるには、生体情報の取得の度に同一の生体情報にならない。生体情報の揺らぎによる一意性が問題となり、関連技術の実現は困難である。
本実施例では、同一人の複数の生体情報の中から常に一意の生体情報が検出できる。また、個人ごとに異なる生体情報を基にパスフレーズを生成するため、利用者のセキュリティ知識に依存せずにパスフレーズのランダム性も向上させることが出来る。
先ず、本実施例に係るシステム1000について図1で説明する。図1は、システムの構成例を示す図である。図1において、システム1000は、利用者1uの側に、クライアント端末100を有し、サービス提供者1pの側に、データ預りサーバ200と、生体認証サーバ300とを有する。システム1000は、利用者1uを審査する、役所関連、空港での審査、金融業務での審査等、公的身分証を用いて本人確認を行う窓口審査に係る業務に導入される。
クライアント端末100とデータ預りサーバ200とが、ネットワーク2を介して接続され、クライアント端末100と生体認証サーバ300とが、ネットワーク2を介して接続される。
クライアント端末100は、利用者1uによって利用される端末であり、認証ICカード3の人物と利用者1uとを照合する本人確認に係る処理を行うクライアントアプリ140を有する。また、クライアント端末100は、外付け又は内蔵により、1種類以上のカード読取装置4と、1種類以上の生体情報読取装置6とを有する。
カード読取装置4は、種々の認証ICカード3の1種類以上を読取可能な装置である。カード読取装置4は、イメージスキャナ4a、ICカードリーダ4b等の1つ以上を有する。認証ICカード3は、電子署名が付加されたICチップ搭載のカード型による、パスポート3a、運転免許証3b、個人番号カード3c等の1つ以上に相当する。
預りデータ251は、少なくとも、認証ICカード3に記録された情報へのアクセスに係る、暗号化された秘匿情報を含む。暗号化された秘匿情報は、暗証番号による認証が成功した場合に復号され読み出し可能となる情報に限るものではなく、暗証番号であってもよい。暗証番号は、復号不可能な一方向関数を用いて暗号化されて記録され、通常、読み出し出来ない。よって、利用者により入力された暗証番号を一時的に記憶すると共に、この暗証番号を用いて認証ICカード3へ認証させ、IC認証が成功した場合に記憶しておいた暗証番号を用いるようにしてもよい。本実施例では、暗証番号が預りデータ251の一例に相当する。
生体情報読取装置6は、利用者1uの生体部位5を読み取る装置である。生体情報読取装置6は、静脈センサー6a、指紋センサー6b、カメラ6c等の少なくとも1種類以上の装置に相当する。
生体部位5は、利用者1uの手のひら5a、利用者1uの指5b、利用者1uの顔5c等の1つ以上である。手のひら5aの場合、静脈センサー6aによって手の平の静脈が読み取られる。指5bの場合、指紋センサー6bによって指の指紋が読み取られる。顔5cの場合、カメラ6cによって顔写真が読み込まれる。
生体情報351は、静脈センサー6a、指紋センサー6b、カメラ6c等のいずれかによって得られた利用者1uの生体部位5に係る情報に相当する。
クライアントアプリ140は、プログラムされた種々の処理によって、クライアント端末100における処理を実現するアプリケーションである。本実施例において、クライアントアプリ140は、生体認証サーバ300との連携により利用者1uの利便性の良い生体認証を実現し、データ預りサーバ200への預りデータ251の登録、参照及び更新等の処理を行う処理部に相当する。
預りデータ251の登録において、クライアントアプリ140は、生体認証サーバ300への複数の生体情報351を登録し、生体認証サーバ300から生体情報351から生成された生体情報351の一意性に係るパスフレーズ341を取得した後、少なくともパスフレーズ341を用いて生成した暗号鍵で預りデータ251を暗号化してデータ預りサーバ200へ送信することで、預りデータ251がデータ預りサーバ200の預りDB250に記録され登録される。
登録後の預りデータ251の参照では、クライアントアプリ140は、データ預りサーバ200との通信において、預りデータ251を受信し、生体認証サーバ300に本実施例においける生体情報351を用いた生体認証を行わせる。
生体認証が成功した場合に、クライアントアプリ140は、生体認証サーバ300からパスフレーズ341を受信し、少なくとも受信したパスフレーズ341を用いて生成した暗号鍵で預りデータ251を復号して登録した暗証番号を取得し、認証ICカード3へアクセスして得られたICチップ内の暗証番号を用いて、IC認証を行う。
IC認証が成功した場合に、クライアントアプリ140は、身分証(即ち、ICチップ)に記録されている顔写真を読み出して表示する。表示された顔写真と利用者1uとが目視確認される。IC認証が成功した場合であっても、顔写真を読み出す前に、電子署名等により身分証の偽変造検証を行うことが望ましい。
登録後の預りデータ251の更新は、暗証番号等を変更する際に行われ、IC認証後の目視確認後、クライアントアプリ140は、生体認証時に生体認証サーバ300から得たパスフレーズ341を少なくとも用いて暗号鍵を生成し、生成した暗号鍵で変更された暗証番号等を含む預りデータ251を暗号化して、データ預りサーバ200へ送信する。データ預りサーバ200の預りDB250の、利用者1uの預りデータ251が更新される。
データ預りサーバ200は、サービス提供者1pによって管理されデータセンター等に相当し、データを預り、安心及び安全に保持するサービスを利用者1uに提供するサーバ装置であり、主に、データ預りアプリ240と、預りDB250とを有する。
データ預りアプリ240は、プログラムにより、データ預りサーバ200が提供するサービスを実現するアプリケーションである。本実施例において、データ預りアプリ240は、クライアント端末100からの種々の要求に応じて、預りデータ251の預りDB250への登録、登録された預りデータ251に対する参照等の処理を行う処理部に相当する。
預りDB250は、各認証ICカード3へのアクセスを可能とする秘匿情報を預りデータ251として記録し保管するデータベースである。預りデータ251は、クライアント端末100にて暗号化された状態で預りDB250に記録されるため、セキュアな状態で保持される。
生体認証サーバ300は、データ預りサーバ200と同一又は異なるサービス提供者1pによって管理され、本実施例に係る生体認証を行うサーバ装置であり、主に、生体認証アプリ340と、生体情報DB350とを有する。
生体認証アプリ340は、プログラムにより、生体認証サーバ300が提供するサービスを実現するアプリケーションである。本実施例において、生体認証アプリ340は、クライアント端末100からの種々の要求に応じて、生体情報351の生体情報DB350への登録、登録された生体情報351を用いた生体認証、登録された生体情報351に対する更新(再登録)、追加等を行う処理部に相当する。
生体情報DB350は、利用者1u毎に、少なくとも1以上の生体部位5に対して、2以上の生体情報351を記録し管理するデータベースである。
生体情報351の登録では、生体認証アプリ340は、利用者1uの同一生体部位5に対して2以上の生体情報351を受信し、1つの生体情報351を用いて、パスフレーズ341を生成し、クライアント端末100へ送信する。生体認証アプリ340は、受信した2以上の生体情報351を夫々生体情報DB350に記録するとともに、パスフレーズ341を生成した生体情報351も生体情報DB350に記録する。
生体認証では、生体認証アプリ340は、認証用に受信した生体情報351と、受信した生体情報351と生体部位5が同一の、生体情報DB350に登録された生体情報351の各々とで照合する(1:N照合)。
生体認証アプリ340は、生体情報DB350内で照合した生体情報351の人物に対して登録されている2以上の生体情報351から、登録時にパスフレーズ341を生成した生体情報351を選択して再度パスフレーズ341を生成し、クライアント端末100へ送信する。
生体情報351の更新(再登録)、追加では、生体認証アプリ340は、認証用に受信した生体情報351と、受信した生体情報351と生体部位5が同一の、生体情報DB350に登録された生体情報351の各々とで照合(1:N照合)を行い、照合結果をクライアント端末100へ送信する。
クライアント端末100では、照合結果が本人であった場合に、生体認証サーバ300に利用者1uの再登録または追加する生体情報351を送信する。
利用者1uの再登録する2以上の生体情報351を受信し、受信した2以上の生体情報351が登録済みの2以上の生体情報351と同じ生体部位5である場合、生体認証サーバ300は、登録済みの生体情報351を受信した生体情報351で置き換える。
生体情報351の追加は、上述において、受信した生体情報351が登録済みの生体情報351とは異なる生体部位5の場合に相当し、生体認証サーバ300は、利用者1uについて、登録済みの生体情報351に加えて受信した生体情報351を追加する。
図1では、サービス提供者1p側において、データ預りサーバ200と、生体認証サーバ300とを有する構成を示したが、データ預りサーバ200と、生体認証サーバ300とを同じサーバで実現してもよい。この場合、一つのサーバに、データ預りアプリ240と生体認証アプリ240とが導入され、一つのサーバが、預りDB350と生体情報DB350とで、預りデータ251と、生体情報351とを管理する。
次に、クライアント端末100、データ預りサーバ200、及び生体認証サーバ300のハードウェア構成について説明する。図2は、システムにおけるハードウェア構成を示す図である。
図2において、クライアント端末100は、コンピュータによって制御される情報処理装置であって、CPU(Central Processing Unit)111と、主記憶装置112と、補助記憶装置113と、入力装置114と、表示装置115と、周辺機器接続I/F116と、通信I/F(インターフェース)117と、ドライブ装置118とを有し、バスB1に接続される。
CPU111は、主記憶装置112に格納されたプログラムに従ってクライアント端末100を制御するプロセッサに相当する。主記憶装置112には、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU111にて実行されるプログラム、CPU111での処理に必要なデータ、CPU111での処理にて得られたデータ等を記憶又は一時保存する。
補助記憶装置113には、HDD(Hard Disk Drive)等が用いられ、各種処理を実行するためのプログラム等のデータを格納する。補助記憶装置113に格納されているプログラムの一部が主記憶装置112にロードされ、CPU111に実行されることによって、各種処理が実現される。主記憶装置112及び/又は補助記憶装置113が記憶部130に相当する。
入力装置114は、マウス、キーボード等を有し、利用者1uがクライアント端末100による処理に必要な各種情報を入力するために用いられる。表示装置115は、CPU111の制御のもとに必要な各種情報を表示する。入力装置114と表示装置115とは、一体化したタッチパネル等によるユーザインタフェースであってもよい。
周辺機器接続I/F116は、USB(Universal Serial Bus)等で接続可能な周辺機器と接続するためのインタフェースである。カード読取装置4、生体情報読取装置6等が接続される。通信I/F117は、有線又は無線などのネットワークを通じて通信を行う。通信I/F117による通信は無線又は有線に限定されるものではない。
クライアント端末100によって行われる処理を実現するプログラムは、例えば、CD−ROM(Compact Disc Read-Only Memory)等の記憶媒体119によってクライアント端末100に提供される。
ドライブ装置118は、ドライブ装置118にセットされた記憶媒体119(例えば、CD−ROM等)とクライアント端末100とのインターフェースを行う。
また、記憶媒体119に、後述される本実施の形態に係る種々の処理を実現するプログラムを格納し、この記憶媒体119に格納されたプログラムは、ドライブ装置118を介してクライアント端末100にインストールされる。インストールされたプログラムは、クライアント端末100により実行可能となる。
尚、プログラムを格納する記憶媒体119はCD−ROMに限定されず、コンピュータが読み取り可能な、構造(structure)を有する1つ以上の非一時的(non-transitory)な、有形(tangible)な媒体であればよい。コンピュータ読取可能な記憶媒体として、CD−ROMの他に、DVDディスク、USBメモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリであっても良い。
データ預りサーバ200は、コンピュータによって制御され、サーバとして動作する情報処理装置であって、CPU(Central Processing Unit)211と、主記憶装置212と、補助記憶装置213と、入力装置214と、表示装置215と、通信I/F(インターフェース)217と、ドライブ装置218とを有し、バスB2に接続される。
CPU211は、主記憶装置212に格納されたプログラムに従ってデータ預りサーバ200を制御するプロセッサに相当する。主記憶装置212には、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU211にて実行されるプログラム、CPU211での処理に必要なデータ、CPU211での処理にて得られたデータ等を記憶又は一時保存する。
補助記憶装置213には、HDD(Hard Disk Drive)等が用いられ、各種処理を実行するためのプログラム等のデータを格納する。補助記憶装置213に格納されているプログラムの一部が主記憶装置212にロードされ、CPU211に実行されることによって、各種処理が実現される。主記憶装置212及び/又は補助記憶装置213が記憶部230に相当する。
入力装置214は、マウス、キーボード等を有し、サービス提供者1pがデータ預りサーバ200による処理に必要な各種情報を入力するために用いられる。表示装置215は、CPU211の制御のもとに必要な各種情報を表示する。入力装置214と表示装置215とは、一体化したタッチパネル等によるユーザインタフェースであってもよい。通信I/F117は、有線又は無線などのネットワークを通じて通信を行う。通信I/F117による通信は無線又は有線に限定されるものではない。
データ預りサーバ200によって行われる処理を実現するプログラムは、例えば、CD−ROM(Compact Disc Read-Only Memory)等の記憶媒体219によってデータ預りサーバ200に提供される。
ドライブ装置218は、ドライブ装置218にセットされた記憶媒体219(例えば、CD−ROM等)とデータ預りサーバ200とのインターフェースを行う。
また、記憶媒体219に、後述される本実施の形態に係る種々の処理を実現するプログラムを格納し、この記憶媒体219に格納されたプログラムは、ドライブ装置218を介してデータ預りサーバ200にインストールされる。インストールされたプログラムは、データ預りサーバ200により実行可能となる。
尚、プログラムを格納する記憶媒体219はCD−ROMに限定されず、コンピュータが読み取り可能な、構造(structure)を有する1つ以上の非一時的(non-transitory)な、有形(tangible)な媒体であればよい。コンピュータ読取可能な記憶媒体として、CD−ROMの他に、DVDディスク、USBメモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリであっても良い。
生体認証サーバ300は、コンピュータによって制御され、サーバとして動作する情報処理装置であって、CPU(Central Processing Unit)311と、主記憶装置312と、補助記憶装置313と、入力装置314と、表示装置315と、周辺機器接続I/F316と、通信I/F(インターフェース)317と、ドライブ装置318とを有し、バスB3に接続される。
CPU311は、主記憶装置312に格納されたプログラムに従って生体認証サーバ300を制御するプロセッサに相当する。主記憶装置312には、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU311にて実行されるプログラム、CPU311での処理に必要なデータ、CPU311での処理にて得られたデータ等を記憶又は一時保存する。
補助記憶装置313には、HDD(Hard Disk Drive)等が用いられ、各種処理を実行するためのプログラム等のデータを格納する。補助記憶装置313に格納されているプログラムの一部が主記憶装置312にロードされ、CPU311に実行されることによって、各種処理が実現される。主記憶装置312及び/又は補助記憶装置313が記憶部330に相当する。
入力装置314は、マウス、キーボード等を有し、サービス提供者1pが生体認証サーバ300による処理に必要な各種情報を入力するために用いられる。表示装置315は、CPU311の制御のもとに必要な各種情報を表示する。入力装置314と表示装置315とは、一体化したタッチパネル等によるユーザインタフェースであってもよい。通信I/F317は、有線又は無線などのネットワークを通じて通信を行う。通信I/F317による通信は無線又は有線に限定されるものではない。
生体認証サーバ300によって行われる処理を実現するプログラムは、例えば、CD−ROM(Compact Disc Read-Only Memory)等の記憶媒体319によって生体認証サーバ300に提供される。
ドライブ装置318は、ドライブ装置318にセットされた記憶媒体319(例えば、CD−ROM等)と生体認証サーバ300とのインターフェースを行う。
また、記憶媒体319に、後述される本実施の形態に係る種々の処理を実現するプログラムを格納し、この記憶媒体319に格納されたプログラムは、ドライブ装置318を介して生体認証サーバ300にインストールされる。インストールされたプログラムは、生体認証サーバ300により実行可能となる。
尚、プログラムを格納する記憶媒体319はCD−ROMに限定されず、コンピュータが読み取り可能な、構造(structure)を有する1つ以上の非一時的(non-transitory)な、有形(tangible)な媒体であればよい。コンピュータ読取可能な記憶媒体として、CD−ROMの他に、DVDディスク、USBメモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリであっても良い。
図1において、データ預りサーバ200と、生体認証サーバ300とを同じサーバで実現する場合には、1つのサーバ装置で表される。
図3は、システムの機能構成例を示す図である。図3において、システム1000は、クライアント処理部141と、データ預り処理部261と、生体認証部361とを有する。
クライアント処理部141は、図1のクライアントアプリ140をクライアント端末100のCPU111が実行することで実現される処理部であり、券面読取部71と、ICアクセス部72と、偽変造検証部73と、預り情報登録部74と、預り情報参照部77とを有する。
券面読取部71は、カード読取装置4を制御して、認証ICカード3の券面を読み取り、認証ICカード3を識別する管理番号を生成する。
ICアクセス部72は、暗証番号でIC認証を行い、認証ICカード3から身分証情報及び電子署名を読み込む。暗証番号の登録時には、ICアクセス部72は、利用者1uが入力した暗証番号でIC認証を行う。また、暗証番号(預りデータ251に含まれる)をデータ預りサーバ200から取得した場合には、ICアクセス部72は、預りデータ251を復号して暗証番号を取得してIC認証を行う。
偽変造検証部73は、ICアクセス部72が読み込んだ身分証情報に偽変造が無いかを電子署名を用いて検証する。偽変造の有無の確認後、偽変造検証部73は、窓口審査担当者等のオペレータによる本人の目視確認を行わせ、目視確認結果を取得する。登録時において、偽変造検証部73は、利用者1uが預りサービスを希望する場合には、預り情報登録部74へ登録要求を行う。
預り情報登録部74は、偽変造検証部73からの登録要求に応じて、利用者1uから取得した生体情報351を生体認証サーバ300に登録してパスフレーズ341を取得し、少なくともパスフレーズ341を用いて暗証番号等を暗号化して預りデータ251を生成して、データ預りサーバ200に登録する。本実施例では、暗号化に、パスフレーズ341と管理番号とを用いる。
預り情報参照部77は、券面読取部71により生成された管理番号を用いてデータ預りサーバ200から取得した預りデータ251を、生体認証サーバ300から取得したパスフレーズ341を少なくとも用いて復号し、暗証番号を取得する。暗証番号が取得できた場合に、ICアクセス部72による認証ICカード3へのアクセスが可能となる。
データ預り処理部261は、図1のデータ預りアプリ240をデータ預りサーバ200のCPU211が実行することで実現される処理部であり、預り情報書込部76と、預り情報読込部78とを有し、記憶部230の預りDB250を参照する。
預り情報書込部76は、クライアント端末100から受信した預りデータ251を、暗号化された状態で預りDB250に記憶する。
預り情報読込部78は、クライアント端末100から受信した管理番号を用いて、預りデータ251を預りDB250から取得して、暗号化された状態で預りデータ251をクライアント端末100へ送信する。
生体認証処理部361は、図1の生体認証アプリ340を生体認証サーバ300のCPU311が実行することで実現される処理部であり、生体情報登録部75と、生体認証部79とを有し、記憶部330の生体情報DB350を参照する。
生体情報登録部75は、利用者1uの1以上の生体種別で複数の生体情報351を生体情報DB350に登録する。本実施例では、1の生体種別で複数の生体情報351が登録された場合であっても、異なる複数の生体種別の各生体種別で複数の生体情報351が登録された場合であっても、一意のパスフレーズ341がクライアント端末100に提供されるように、複数種類及び複数の生体情報351が管理される。
生体認証部79は、クライアント端末100から利用者1uの生体情報351と生体種別とを受信し、生体情報DB350を参照して、生体認証を行う。生体認証が成功した場合、生体認証部79は、クライアント端末100へパスフレーズ341を送信する。
このように、本実施例では、管理番号と預りデータ251とを関連付け、利用者1uの認証ICカード3毎の預りデータ251を取得できる。また、パスフレーズ341と複数の生体情報351とが関連付けられることで、いずれの生体種別において生体認証した場合でも、一意のパスフレーズ341をクライアント端末100に提供できる。
従って、本実施例では、クライアント端末100での生体情報351の読み取り時のばらつきによる不都合を解消することができる。
上述したシステム1000では、預りデータ251を新規に登録する場合には、券面読取部71、ICアクセス部72、偽変造検証部73、預り情報登録部74、生体情報登録部75、及び預り情報書込部76により、預りデータ251の登録が行われる。
預りデータ251を参照する場合には、券面読取部71、預り情報参照部77、預り情報読込部78、生体認証部79、ICアクセス部72、及び偽変造検証部73により、預りデータ251の参照が行われる。登録、参照等の種々の処理については、処理シーケンスにより後述される。
次に、預りDBのデータ250及び生体情報DB350のデータ構成例について説明する。
図4は、預りDBのデータのデータ構成例を示す図である。図4において、預りDB250は、利用者1uが所持する認証ICカード3毎に暗証番号等の預りデータ251を記憶し管理するデータベースであり、管理番号、カスタマID、身分証ID、暗証番号等、電子署名等の項目を有する。
管理番号は、認証ICカード3に係る預りデータ251を管理するための最大14桁の管理番号であり、身分証である認証ICカード3の券面に記載されている情報に基づいて生成した身分証識別番号を示す。
認証ICカード3が運転免許証3bの場合、管理番号は、運転免許証番号を示す。認証ICカード3がパスポート3aの場合、管理番号は、パスポート番号を示す。認証ICカード3が個人番号カードの場合、管理番号は、個人番号または生年月日6桁+有効期限西暦年4桁+セキュリティコード4桁の14桁を示せばよい。
カスタマIDは、少なくとも1以上の認証ICカード3を所持する利用者1uを識別する12桁のIDである。本実施例では、カスタマIDは、生体情報DB350への生体情報351の初期登録時に採番された生体情報登録IDを示す。利用者1uが複数の認証ICカード3に関する預りデータ251を登録した場合でも、利用者1uは一つのカスタマIDで識別される。
身分証IDは、身分証である認証ICカード3を識別する4桁のIDを示す。身分証IDは、認証ICカード3のアプリケーション識別子(AID)に基づいてコード化した値を示す。
本実施例では、身分証の種別を身分証IDで示すようにする。一例として、運転免許証3bの場合、身分証IDは「0100」を示し、パスポート3aの場合は「0200」を示し、個人番号カード3cの場合は「0300」を示すようにすればよい。
暗証番号等は、認証ICカード3をアクセス許可する秘匿性のある番号等をテキストで示す。認証ICカード3が運転免許証3bの場合、暗証番号1及び暗証番号2が示される。認証ICカード3がパスポート3aの場合、パスポート番号、生年月日、及び期間満了日が、暗証番号として示される。認証ICカード3が個人番号カード3cの場合、暗証番号が示される。
電子署名は、認証ICカード3のICチップ内の電子署名をバイナリコードで示す。認証ICカード3が運転免許証3bの場合、電子署名値1が示される。
預りデータ251は、暗証番号等及び電子署名に相当し、暗号化されて、預りDB250に保持される。
図4のデータ例では、利用者Aに関して、運転免許証3b、パスポート3a、及び個人番号カード3cの預りデータ251を保管している。運転免許証3b、パスポート3a、及び個人番号カード3cの1つの預りデータ251を登録した時の、利用者Aの生体情報351の初期登録で採番された生体情報登録ID「000000000001」がカスタマIDに示されている。従って、3種類の認証ICカード3で同一カスタマID「000000000001」が示される。
利用者Aの運転免許証3bについて、管理番号「123456789001」を示し、身分証ID「0100」を示し、預りデータ251には、暗証番号等に「暗証番号1」及び「暗証番号2」が示され、電子署名には「電子署名値1」が示される。
また、利用者Aのパスポート3aについて、管理番号「XX1234567」を示し、身分証ID「0200」を示し、預りデータ251には、暗証番号等に「パスポート番号」、「生年月日」及び「期間満了日」が示され、電子署名には「電子署名値2」が示される。
更に、利用者Aの個人番号カード3cについて、管理番号「123456789012」を示し、身分証ID「0300」を示し、預りデータ251には、暗証番号等に「暗証番号」が示され、電子署名には「電子署名値3」が示される。
利用者Bに関して、運転免許証3bの預りデータ251を保管している。運転免許証3bの預りデータ251を登録した時の、利用者Bの生体情報351の初期登録で採番された生体情報登録ID「000000000004」がカスタマIDに示されている。
利用者Bの運転免許証3bについて、管理番号「123456789002」を示し、身分証ID「0100」を示し、預りデータ251には、暗証番号等に「暗証番号4」及び「暗証番号5」が示され、電子署名には「電子署名値4」が示される。
図5は、生体情報DBのデータ構成例を示す図である。図5において、生体情報DB350は、認証ICカード3を所持する利用者1uの生体種別毎に複数の生体情報315を記憶し管理するデータベースであり、生体情報登録ID、カスタマID、生体種別、生体情報等の項目を有する。
生体情報登録IDは、個々の生体情報315に与えられた、12桁の識別情報を示す。カスタマIDは、利生者1u毎に、生体情報315の初期登録時に採番された12桁の生体情報登録IDを示す。
生体種別は、預りデータ251の暗号鍵の生成に使用するパスフレーズ341に生成用の生体情報351を指定する2桁の番号、又は、生体部位5の種別を示す2桁の番号を示す。パスフレーズ341の生成用の生体情報351には、生体種別「00」が示される。生体認証に利用する生体情報351が、手のひら5aの場合には生体種別「01」が示され、指5bの場合には生体種別「02」が示され、顔5cの場合には生体種別「03」が示される。
生体情報は、生体部位5の生体情報351を示す。手のひら5aの場合には複数の手のひら静脈情報が記憶される。指5bの場合には複数の指紋情報が記憶される。顔5cの場合には顔画像が記憶される。
図5のデータ例では、1回目と2回目の生体情報351を登録する場合で説明するが、生体情報351を3回以上取得して、それら全て又は一部を登録する場合でも同様である。
利用者Aは、生体認証用に、手のひら5aのみを登録している。利用者Aに関して、3レコードが存在し、生体情報登録ID「000000000001」、「000000000002」、及び「000000000003」によって識別される。3レコード全てに対して、利用者Aを識別するカスタマIDは「000000000001」である。
利用者Aのパスフレーズ生成用の生体情報351には、1回目の手のひら静脈情報が用いられ、生体種別「00」が設定され、生体情報登録ID「000000000001」に対応付けられている。再度、1回目の手のひら静脈情報が記憶され、生体種別「01」が設定され、生体情報登録ID「000000000002」に対応付けられている。また、2回目の手のひら静脈情報に対しても、同様に、生体種別「01」が設定され、生体情報登録ID「000000000003」に対応付けられている。
図4の預りDB250のデータ例を参照すると、利用者Aは、3種類の身分証に対して、夫々の認証ICカード3をアクセスする暗証番号等を含む預りデータ251を登録している。一方、図5を参照すると、利用者Aが生体情報DB350に登録している生体情報351は、手のひら5aのみである。
即ち、利用者Aの場合、3種類の身分証に対して、夫々の認証ICカード3へアクセスする際の生体認証は、手のひら5aで行われる。
利用者Bは、生体認証用に、手のひら5a、顔5c、及び指5bの生体情報351を登録している。利用者Bに関して、7レコードが存在し、生体情報登録ID「000000000004」、「000000000005」、「000000000006」、「000000000007」、「000000000008」、「000000000009」、及び「000000000010」によって識別される。7レコード全てに対して、利用者Bを識別するカスタマIDは「000000000004」である。
利用者Bのパスフレーズ生成用の生体情報351には、1回目の手のひら静脈情報が用いられ、生体種別「00」が設定され、生体情報登録ID「000000000004」に対応付けられている。再度、1回目の手のひら静脈情報が記憶され、生体種別「01」が設定され、生体情報登録ID「000000000005」に対応付けられている。また、2回目の手のひら静脈情報に対しても、同様に、生体種別「01」が設定され、生体情報登録ID「000000000006」に対応付けられている。
生体情報登録IDに従い、利用者Bが次に登録した生体部位5は顔5cであり、顔5cの2回の生体情報351が記憶されている。生体種別「02」で、1回目の顔画像が記憶され、生体情報登録ID「000000000007」に対応付けられている。同様に、生体種別「02」で、2回目の顔画像が記憶され、生体情報登録ID「000000000008」に対応付けられている。パスフレーズ生成用に利用されない顔5cでは、2レコードで管理される。
利用者Bが更に登録した生体部位5は指5bであり、指5bの2回の生体情報351が記憶されている。生体種別「03」で、1回目の指紋情報が記憶され、生体情報登録ID「000000000009」に対応付けられている。同様に、生体種別「03」で、2回目の指紋情報が記憶され、生体情報登録ID「000000000010」に対応付けられている。パスフレーズ生成用に利用されない指5bでは、2レコードで管理される。
図4の預りDB250のデータ例を参照すると、利用者Bは、1種類の身分証のみに、認証ICカード3をアクセスする暗証番号等を含む預りデータ251を登録している。一方、図5を参照すると、利用者Bが生体情報DB350に登録している生体情報351は、手のひら5a、指5b、及び顔5cの3種類である。
即ち、利用者Bの場合、1種類の身分証に対して、その認証ICカード3へアクセスする際の生体認証は、手のひら5a、指5b、及び顔5cのいずれでも行うことができる。
次に、システム1000で行う種々の処理について処理シーケンスで説明する。先ず、実施例におけるシステム1000での預りデータ251の新規登録処理について説明する。図6及び図7は、実施例におけるシステムでの新規登録処理を説明するための処理シーケンスを示す図である。
図6において、クライアント端末100では、券面読取部71による券面読取処理が行われる(ステップS1110)。ステップS1110において、券面読取部71では、以下の処理を行う。
券面読取部71は、公的身分証である認証ICカード3のアプリケーション識別子(AID)で身分証の種別を識別して、身分証IDに設定する(ステップS1111)。
そして、券面読取部71は、身分証IDで認証ICカード3の券面の様式を判断し、記載事項をOCR認識し、管理番号(ID)を生成する(ステップS1112)。
券面読取部71は、券面をカード読取装置4(イメージスキャナ4a、ICカードリーダ4b等)で読み込み、身分証の券面記載事項(管理番号等)をOCR認識してテキスト情報として取り込む。OCR認識がエラーの場合、券面読取部71は、読み込んだ券面イメージ情報を表示装置115に表示して、オペレータ(窓口審査担当者等)の操作により、入力装置114から受信した修正データでテキスト情報を修正する。
また、券面読取部71は、読み込んだ券面イメージ情報とOCR認識したテキスト情報とを用いて、身分証識別情報となる管理番号を生成し、後続処理で使用するため、記憶部130の一次保存領域に、生成した管理番号を一次格納する。そして、券面読取部71による券面読取処理は終了する。
次に、ICアクセス部72によるICアクセス処理が行われる(ステップS1120)。ステップS1120において、ICアクセス部72では、以下の処理を行う。
ICアクセス部72は、利用者1uからIC認証に使用する暗証番号などを取得する(ステップS1121)。ICアクセス部72は、IC認証で用いる暗証番号の入力を促す画面を表示装置115に表示して、利用者1uに入力装置114で暗証番号を入力させる。
入力装置114から利用者1uが入力した暗証番号を受信すると、ICアクセス部72は、利用者1uが入力した暗証番号と、認証ICカード3のICチップ内の暗証番号とを照合する(ステップS1122)。
ICアクセス部72は、IC認証が成功か否かを判断する(ステップS1123)。利用者1uが入力した暗証番号と、認証ICカード3のICチップ内の暗証番号とが一致した場合に、IC認証が成功する。
IC認証が失敗した場合(ステップS1123のNO)、ICアクセス部72は、規定回数または利用者1uによるキャンセル操作が行われるまで暗証番号の入力及びIC認証を繰り返す(ステップS1124)。IC認証をキャンセル又は規定回数の実行でも認証できない場合、又は、認証ICカード3のICチップの読み込みでエラーが発生した場合には、ICアクセス部72は、その旨のメッセージを表示装置115に表示してICアクセス処理を中断する。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
IC認証が成功した場合(ステップS1123のYES)、ICアクセス部72は、認証ICカード3のICチップ内のデータを読み込み、身分証情報及び電子署名を記憶部130の一次保存領域に格納し(ステップS1125)、ICアクセス処理を終了する。
そして、偽変造検証部73による偽変造検証処理が行われる(ステップS1130)。ステップS1130において、偽変造検証部73では、以下の処理を行う。
偽変造検証部73は、認証ICカード3のICチップより読み込んだ身分証情報及び電子署名を用いて、以下の偽変造確認を行い、偽変造検証結果を表示装置115に表示する(ステップS1131)。
a.偽変造検証部73は、ICチップ内の電子署名とICチップ内の身分証情報のデータを用いて、署名検証による身分証情報の改ざん有無をチェックする。
b.偽変造検証部73は、公的身分証、即ち、認証ICカード3の発行機関から取得した、公開鍵証明書を用いて、電子署名の証明書検証による発行機関の真正性をチェックする。
偽変造検証部73は、偽変造検証結果が正常終了か否かを判断する(ステップS1132)。偽変造検証結果が正常終了でない場合(ステップS1132のNO)、即ち、認証ICカード3が偽変造されている可能性がある場合、偽変造検証部73は、その旨のメッセージを表示装置115に表示して偽変造検証処理を中断する。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
偽変造検証結果が正常終了の場合(ステップS1132のYES)、偽変造検証部73は、ICアクセス部72が一次保存領域に保存した身分証情報から顔写真を取得して表示装置115に表示し、オペレータ(窓口審査担当者等)に、顔写真と利用者1uの顔との一致を目視確認で行わせ、その目視確認結果を入力させる(ステップS1133)。
偽変造検証部73は、偽変造検証及び目視確認結果とに基づいて、本人確認の最終判断を行う(ステップS1134)。偽変造検証が正常終了かつ目視確認結果が本人確認である場合、偽変造検証部73は、本人であると最終判断する。偽変造検証が正常終了であっても目視確認結果が本人確認できないことを示す場合(ステップS1134のNO)、偽変造検証部73は、偽変造検証処理を中断する。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
本人であると最終判断した場合(ステップS1134のYES)、偽変造検証部73は、暗証番号等の預りサービスの利用有無を確認してもよい。利用者1uが預りサービスを利用しない場合、暗証番号等の秘匿情報は、利用者1uが管理するものと判断し、新規登録処理を終了する。一方、利用者1uから預りサービスの利用について承諾を得た場合、以下の処理が更に行われる。
図7において、預り情報登録部74による預り情報登録処理が行われる(ステップS1140)。ステップS1140において、預り情報登録部74では、以下の処理を行う。
預り情報登録部74は、利用者1uから生体情報351を取得する(ステップS1141)。利用者1uから入力された生体情報351を生体情報読取装置6から受信することで、利用者1uの生体情報351を取得する。利用者1uによる生体情報351の入力は、生体認証時の認証精度の平準化を図るため、複数回の生体情報を取得し、取得した生体情報の各々とで照合を行い、同一人性と認証精度の担保を行う。本実施例では、生体情報351は3回入力されるものとし、1回目と2回目の生体情報の照合、1回目と3回目の生体情報の照合、2回目と3回目の生体情報の照合を行い、取得した生体情報の同一人性と認証精度の担保を行っている。
預り情報登録部74は、生体情報351を正しく取得できたか否かを判断する(ステップS1142)。正しく取得できなかった場合(ステップS1142のNO)、預り情報登録部74は、ステップS1141へと戻り、更に、利用者1uから生体情報351を取得する。
一方、生体情報351を正しく取得できた場合(ステップS1142のYES)、預り情報登録部74は、生体種別と、生体情報351とを、生体認証サーバ300に送信し、生体情報351を初期登録する(ステップS1143)。本実施例では、預り情報登録部74は、1回目、2回目、及び3回目の生体情報351のうち、1回目と2回目の生体情報351を生体認証サーバ300に送信する。預り情報登録部74は、生体認証サーバ300への利用者1uの生体情報351の初期登録により、生体認証サーバ300からカスタマIDと、パスフレーズ341とを受信する。
預り情報登録部74は、パスフレーズ341と管理番号とを用いて暗号鍵を生成する(ステップS1144)。そして、預り情報登録部74は、生成した暗号鍵で預りデータ251を暗号化する(ステップS1145)。預りデータ251には、暗証番号、電子署名等が含まれる。
預り情報登録部74は、管理番号と、カスタマIDと、身分証IDと、暗号化した預りデータ251とを、データ預りサーバ200に送信し、利用者1uの預りデータ251を登録する(ステップS1146)。預り情報登録部74は、預り情報登録処理を終了する。また、システム1000における新規登録処理が終了する。
ステップS1143における、預り情報登録部74による生体情報351の生体認証サーバ300への送信によって、生体認証サーバ300では、生体情報登録部75による生体情報351の初期登録が行われる(ステップS1350)。ステップS1350において、生体情報登録部75では、以下の処理を行う。
生体情報登録部75は、生体情報登録IDを採番し、カスタマIDに設定する(ステップS1351)。カスタマIDは、生体認証サーバ300において、利用者1uを識別する識別情報であり、初期登録時に1度だけ設定され、変更されることはない。
生体情報登録部75は、採番した生体情報登録IDと、カスタマIDと、生体種別(「00」固定)と、受信した1回目の生体情報351とを、生体情報DB350に登録する(ステップS1352)。この場合、生体種別には、生体情報登録部75によって値「00」が設定される。
生体情報登録部75は、生体情報登録IDを採番する(ステップS1353)。生体情報登録部75は、採番した生体情報登録IDと、カスタマIDと、受信した生体種別と、1回目の生体情報351とを、生体情報DB350に登録する(ステップS1354)。この場合、再度、1回目の生体情報351が登録される。
生体情報登録部75は、生体情報登録IDを採番する(ステップS1355)。生体情報登録部75は、採番した生体情報登録IDと、カスタマIDと、受信した生体種別及び2回目の生体情報351とを、生体情報DB350に登録する(ステップS1356)。
生体情報登録部75は、カスタマIDをアクセスキーとして使用して、生体情報DB350から生体情報351を読み出し、ハッシュ関数を用いて、生体情報「00」の生体情報351を一定長のサイズに圧縮して、パスフレーズ341を生成する(ステップS1357)。例えば、生体情報351は、256ビットに圧縮される。
生体情報351を圧縮後、生体情報登録部75は、生成したパスフレーズ341と、カスタマIDとを、依頼元のクライアント端末100へ送信し(ステップS1358)、生体情報登録処理を終了する。
ステップS1146における、預り情報登録部74による預りデータ251のデータ預りサーバ200への送信によって、データ預りサーバ200では、預り情報書込部76による預り情報書込処理が行われる(ステップS1260)。ステップS1260において、預り情報書込部76では、以下の処理を行う。
預り情報書込部76は、クライアント端末100から預りデータ251を受信すると、管理番号、カスタマID、身分証ID、及び預りデータ251を預りDB250に登録する(ステップS1261)。預りデータ251は、暗証番号、電子署名などを含む。預りデータ251の登録後、預り情報書込部76は、預り情報書込処理を終了する。
次に、実施例におけるシステム1000での預りデータ251の参照処理について説明する。図8及び図9は、実施例におけるシステムでの預りデータの参照処理を説明するための処理シーケンスを示す図である。
図8において、クライアント端末100では、券面読取部71による券面読取処理が行われる(ステップS2110)。ステップS2110において、券面読取部71では、以下の処理を行う。
券面読取部71は、公的身分証である認証ICカード3のアプリケーション識別子(AID)で身分証の種別を識別して、身分証IDに設定する(ステップS2111)。
そして、券面読取部71は、身分証IDで認証ICカード3の券面の様式を判断し、記載事項をOCR認識し、管理番号(ID)を生成する(ステップS2112)。OCR認識に係る処理は上述した通りである。管理番号は、後続処理で使用するため、記憶部130の一次保存領域に、生成した管理番号を一次格納される。券面読取部71による券面読取処理は終了する。
次に、預り情報参照部77による預り情報参照処理が行われる(ステップS2170)。ステップS2170において、預り情報参照部77では、以下の処理を行う。
預り情報参照部77は、管理番号をデータ預りサーバ200へ送信して、カスタマIDと、預りデータ251とを取得する(ステップS2171)。データ預りサーバ200から預りデータ251を取得できなかった場合、預り情報参照部77は、預り情報参照処理を中断し、システム1000での預りデータ251の参照処理は終了する。
データ預りサーバ200から預りデータ251を取得できた場合、預り情報参照部77は、利用者1uから生体情報351を取得する(ステップS2172)。
預り情報参照部77は、カスタマID、生体種別、及び生体情報351を、生体認証サーバ300に送信して、パスフレーズ341を取得する(ステップS2173)。預り情報参照部77は、生体認証の照合結果より本人か否かを判断する(ステップS2174)。生体認証エラーの通知を受けた場合(ステップS2174のNO)、預り情報参照部77は、預り情報参照を中断する。また、システム1000での預りデータ251の参照処理が終了する。或いは、生体認証が正しく行われなかったと判断し、ステップS2172へ戻り、再度、利用者1uから生体情報351を取得し、上述同様の処理を繰り返してもよい。即ち、生体認証をリトライしてもよい。生体認証が成功した場合(ステップS2174のYES)、パスフレーズ341を受信し、更に、以下の処理が行われる。
預り情報参照部77は、生体認証サーバ300から受信したパスフレーズと管理番号とを用いて、暗号鍵を生成する(ステップS2175)。そして、預り情報参照部77は、生成した暗号鍵で、データ預りサーバ200から取得した預りデータ251を復号する(ステップS2176)。
預り情報参照部77は、復号できたか否かを判断する(ステップS2177)。復号できなかった場合(ステップS2177のNO)、預り情報参照部77は、預り情報参照を中断する。また、システム1000での預りデータ251の参照処理が終了する。
複号できた場合(ステップS2177のYES)、預り情報参照部77は、復号した預りデータ251から、暗証番号電子署名などを取得して、預り情報参照処理を終了する。
ステップS2171における、預り情報参照部77による管理番号のデータ預りサーバ200への送信によって、データ預りサーバ200では、預り情報読込部78による預り情報読込処理が行われる(ステップS2280)。ステップS2280において、預り情報読込部78では、以下の処理を行う。
預り情報読込部78は、クライアント端末100から受信した管理番号をキーとして、預りDB250から預りデータ251を検索し(ステップS2281)、管理番号に対応付けられた預りデータ251が存在したか否かを判断する(ステップS2282)。預りデータ251が存在しない場合(ステップS2282のNO)、預り情報読込部78は、預り情報読込処理を終了する。
預りデータ251が存在する場合(ステップS2282のYES)、預り情報読込部78は、カスタマIDと預りデータとを依頼元のクライアント端末100へ送信する(ステップS2283)。その後、預り情報読込部78は、預り情報読込処理を終了する。
ステップS2173における、預り情報参照部77による生体情報351の生体認証サーバ300への送信によって、生体認証サーバ300では、生体認証部79による生体認証処理が行われる(ステップS2390)。ステップS2390において、生体認証部79では、以下の処理を行う。
生体認証部79は、クライアント端末100から受信したカスタマIDと生体種別とを用いて生体情報DB350における照合対象を絞り込み、受信した生体情報351と照合対象とで1対N照合を行う(ステップS2391)。
生体認証部79は、照合が成功したか否かを判断する(ステップS2392)。照合が成功しなかった場合(ステップS2392のNO)、即ち、照合対象に利用者1uの生体情報351と一致する生体情報351が存在しなかった場合、生体認証部79は、生体認証処理を中断する。生体認証エラーがクライアント端末100へ通知される。
照合が成功した場合(ステップS2392のYES)、即ち、照合対象に利用者1uの生体情報351と一致する生体情報351が存在した場合、生体認証部79は、照合により一致した生体情報351からカスタマIDを取り出す(ステップS2393)。
そして、生体認証部79は、取り出したカスタマIDをアクセスキーとして生体情報DB350から生体情報を読み出し、ハッシュ関数を用いて、生体情報「00」の生体情報「00」の生体情報351を一定長のサイズに圧縮して、パスフレーズ341を生成する(ステップS2394)。例えば、生体情報351は、256ビットに圧縮される。
生体情報351を圧縮後、生体認証部79は、生成したパスフレーズ341を、依頼元のクライアント端末100へ送信し(ステップS2395)、生体認証処理を終了する。
図9を参照して、クライアント端末100では、ステップS2170の預り情報参照部77による預り情報参照処理によって預りデータ251が復号されると、ICアクセス部72によるICアクセス処理が行われる(ステップS2120)。ステップS2120において、ICアクセス部72では、以下の処理を行う。
ICアクセス部72は、復号した暗証番号と認証ICカード3のICチップ内の暗証番号とを照合する(ステップS2121)。ICアクセス部72は、IC認証が成功か否かを判断する(ステップS2122)。復号した暗証番号と、認証ICカード3のICチップ内の暗証番号とが一致した場合に、IC認証が成功する。
IC認証が失敗した場合(ステップS2122のNO)、ICアクセス部72は、その旨のメッセージを表示装置115に表示してICアクセス処理を中断する。また、ICチップの読み込みエラーが発生した場合も同様にその旨のメッセージが表示装置115に表示され、ICアクセス処理が中断される。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
IC認証が成功した場合(ステップS2122のYES)、ICアクセス部72は、認証ICカード3のICチップ内のデータを読み込み、身分証情報及び電子署名を記憶部130の一次保存領域に格納し(ステップS2123)、ICアクセス処理を終了する。
そして、偽変造検証部73による偽変造検証処理が行われる(ステップS2130)。ステップS2130において、偽変造検証部73では、以下の処理を行う。
偽変造検証部73は、認証ICカード3のICチップより読み込んだ身分証情報及び電子署名を用いて、以下の偽変造確認を行い、偽変造検証結果を表示装置115に表示する(ステップS2131)。
a.偽変造検証部73は、ICチップ内の電子署名とICチップ内の身分証情報のデータを用いて、署名検証による身分証情報の改ざん有無をチェックする。
b.偽変造検証部73は、公的身分証、即ち、認証ICカード3の発行機関から取得した、公開鍵証明書を用いて、電子署名の証明書検証による発行機関の真正性をチェックする。
預りデータ251として前回検証時の電子署名がある場合で、かつ、証明書検証の省略を許可する設定になっている場合、預りデータ251の電子署名と今回のICチップ内の電子署名とを照合して妥当性が検証される。
現在、地方公共団体情報システム機構が提供する公的個人認証サービスを利用して、個人番号カードの有効性確認は有料(有効性検証:2円/回、電子署名:20円/回)である。預かりデータとして電子署名情報がある場合、この電子署名情報と今回のICチップより読み込んだ電子署名情報の照合で真正性チェックの代行を可能とし、地方公共団体情報システム機能の公的個人認証サービスを利用せずとも、個人番号カードの有効性チェックが可能となる。
なお、個人番号カードの基本情報(住所など)の変更、失効有無などの情報を受け取り、より強固なセキュリティを担保したい場合、毎回、公的個人認証サービスを利用することが望ましい。システム1000では、設定によって処理モードを変更すればよい。
偽変造検証部73は、偽変造検証結果が正常終了か否かを判断する(ステップS2132)。偽変造検証結果が正常終了でない場合(ステップS2132のNO)、即ち、認証ICカード3が偽変造されている可能性がある場合、偽変造検証部73は、その旨のメッセージを表示装置115に表示して偽変造検証処理を中断する。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
偽変造検証結果が正常終了の場合(ステップS2132のYES)、偽変造検証部73は、ICアクセス部72が一次保存領域に保存した身分証情報から顔写真を取得して表示装置115に表示し、オペレータ(窓口審査担当者等)に、顔写真と利用者1uの顔との一致を目視確認で行わせ、その目視確認結果を入力させる(ステップS2133)。
偽変造検証部73は、偽変造検証及び目視確認結果とに基づいて、本人確認の最終判断を行う(ステップS2134)。偽変造検証が正常終了かつ目視確認結果が本人確認である場合(ステップS2134のNO)、偽変造検証部73は、本人であると最終判断する。偽変造検証が正常終了であっても目視確認結果が本人確認できないことを示す場合、偽変造検証部73は、偽変造検証処理を中断する。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
本人であると最終判断した場合(ステップS2134のYES)、偽変造検証部73は、偽変造検証処理を終了する。そして、システム1000での預りデータ251の参照処理が終了する。
実施例におけるシステム1000での預りデータ251の更新処理について説明する。図10及び図11は、実施例におけるシステムでの預りデータの更新処理を説明するための処理シーケンスを示す図である。預りデータ251の更新処理は、利用者1uが暗証番号等を変更する場合等に行われる。
図10において、クライアント端末100では、券面読取部71による券面読取処理が行われる(ステップS3110)。ステップS3110において、券面読取部71では、以下の処理を行う。
券面読取部71は、公的身分証である認証ICカード3のアプリケーション識別子(AID)で身分証の種別を識別して、身分証IDに設定する(ステップS3111)。
そして、券面読取部71は、身分証IDで認証ICカード3の券面の様式を判断し、記載事項をOCR認識し、管理番号(ID)を生成する(ステップS3112)。OCR認識に係る処理は上述した通りである。管理番号は、後続処理で使用するため、記憶部130の一次保存領域に、生成した管理番号を一次格納される。券面読取部71による券面読取処理は終了する。
次に、預り情報参照部77による預り情報参照処理が行われる(ステップS3170)。ステップS3170において、預り情報参照部77では、以下の処理を行う。
預り情報参照部77は、管理番号をデータ預りサーバ200へ送信して、カスタマIDと、預りデータ251とを取得する(ステップS3171)。データ預りサーバ200から預りデータ251を取得できなかった場合、預り情報参照部77は、預り情報参照処理を中断し、システム1000での預りデータ251の参照処理は終了する。
データ預りサーバ200から預りデータ251を取得できた場合、預り情報参照部77は、利用者1uから生体情報351を取得する(ステップS3172)。
預り情報参照部77は、カスタマID、生体種別、及び生体情報351を、生体認証サーバ300に送信して、パスフレーズ341を取得する(ステップS3173)。預り情報参照部77は、生体認証の照合結果より本人か否かを判断する(ステップS3174)。生体認証エラーの通知を受けた場合(ステップS3174のNO)、預り情報参照部77は、預り情報参照を中断する。また、システム1000での預りデータ251の参照処理が終了する。或いは、生体認証が正しく行われなかったと判断し、ステップS3172へ戻り、再度、利用者1uから生体情報351を取得し、上述同様の処理を繰り返してもよい。即ち、生体認証をリトライしてもよい。生体認証が成功した場合(ステップS3174のYES)、パスフレーズ341を受信し、更に、以下の処理が行われる。
預り情報参照部77は、生体認証サーバ300から受信したパスフレーズと管理番号とを用いて、暗号鍵を生成する(ステップS3175)。そして、預り情報参照部77は、生成した暗号鍵で、データ預りサーバ200から取得した預りデータ251を復号する(ステップS3176)。
預り情報参照部77は、復号できたか否かを判断する(ステップS3177)。復号できなかった場合(ステップS3177のNO)、預り情報参照部77は、預り情報参照を中断する。また、システム1000での預りデータ251の参照処理が終了する。
複号できた場合(ステップS3177のYES)、預り情報参照部77は、復号した預りデータ251から、暗証番号,電子署名などを取得して、預り情報参照処理を終了する。
ステップS3171における、預り情報参照部77による管理番号のデータ預りサーバ200への送信によって、データ預りサーバ200では、預り情報読込部78による預り情報読込処理が行われる(ステップS3280)。ステップS3280において、預り情報読込部78では、以下の処理を行う。
預り情報読込部78は、クライアント端末100から受信した管理番号をキーとして、預りDB250から預りデータ251を検索し(ステップS3281)、管理番号に対応付けられた預りデータ251が存在したか否かを判断する(ステップS3282)。預りデータ251が存在しない場合(ステップS3282のNO)、預り情報読込部78は、預り情報読込処理を終了する。
預りデータ251が存在する場合(ステップS3282のYES)、預り情報読込部78は、カスタマIDと預りデータとを依頼元のクライアント端末100へ送信する(ステップS3283)。その後、預り情報読込部78は、預り情報読込処理を終了する。
ステップS3173における、預り情報参照部77による生体情報351の生体認証サーバ300への送信によって、生体認証サーバ300では、生体認証部79による生体認証処理が行われる(ステップS3390)。ステップS3390において、生体認証部79では、以下の処理を行う。
生体認証部79は、クライアント端末100から受信したカスタマIDと生体種別とを用いて生体情報DB350における照合対象を絞り込み、受信した生体情報351と照合対象とで1対N照合を行う(ステップS3391)。
生体認証部79は、照合が成功したか否かを判断する(ステップS3392)。照合が成功しなかった場合(ステップS3392のNO)、即ち、照合対象に利用者1uの生体情報351と一致する生体情報351が存在しなかった場合、生体認証部79は、生体認証処理を中断する。生体認証エラーがクライアント端末100へ通知される。
照合が成功した場合(ステップS3392のYES)、即ち、照合対象に利用者1uの生体情報351と一致する生体情報351が存在した場合、生体認証部79は、照合により一致した生体情報351からカスタマIDを取り出す(ステップS3393)。
そして、生体認証部79は、取り出したカスタマIDをアクセスキーとして生体情報DB350から生体情報を読み出し、ハッシュ関数を用いて、生体情報「00」の読み出した生体情報351を一定長のサイズに圧縮して、パスフレーズ341を生成する(ステップS3394)。例えば、生体情報351は、256ビットに圧縮される。
生体情報351を圧縮後、生体認証部79は、生成したパスフレーズ341を、依頼元のクライアント端末100へ送信し(ステップS3395)、生体認証処理を終了する。
図11を参照して、クライアント端末100では、ステップS3170の預り情報参照部77による預り情報参照処理によって預りデータ251が復号されると、ICアクセス部72によるICアクセス処理が行われる(ステップS3120)。ステップS3120において、ICアクセス部72では、以下の処理を行う。
ICアクセス部72は、利用者1uからIC認証に使用する暗証番号などを取得する(ステップS3121)。ICアクセス部72は、IC認証で用いる暗証番号の入力を促す画面を表示装置115に表示して、利用者1uに入力装置114で暗証番号を入力させる。
入力装置114から利用者1uが入力した暗証番号を受信すると、ICアクセス部72は、利用者1uが入力した暗証番号と、認証ICカード3のICチップ内の暗証番号とを照合する(ステップS3122)。
ICアクセス部72は、IC認証が成功か否かを判断する(ステップS3123)。利用者1uが入力した暗証番号と、認証ICカード3のICチップ内の暗証番号とが一致した場合に、IC認証が成功する。
IC認証が失敗した場合(ステップS3123のNO)、ICアクセス部72は、規定回数または利用者1uによるキャンセル操作が行われるまで暗証番号の入力及びIC認証を繰り返す(ステップS3124)。IC認証をキャンセル又は規定回数の実行でも認証できない場合、又は、認証ICカード3のICチップの読み込みでエラーが発生した場合には、ICアクセス部72は、その旨のメッセージを表示装置115に表示してICアクセス処理を中断する。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
IC認証が成功した場合(ステップS3123のYES)、ICアクセス部72は、認証ICカード3のICチップ内のデータを読み込み、身分証情報及び電子署名を記憶部130の一次保存領域に格納し(ステップS3125)、ICアクセス処理を終了する。
そして、偽変造検証部73による偽変造検証処理が行われる(ステップS3130)。ステップS3130において、偽変造検証部73では、以下の処理を行う。
偽変造検証部73は、認証ICカード3のICチップより読み込んだ身分証情報及び電子署名を用いて、上述した偽変造確認(図6のステップS1131)を行い、偽変造検証結果を表示装置115に表示する(ステップS3131)。
偽変造検証部73は、偽変造検証結果が正常終了か否かを判断する(ステップS3132)。偽変造検証結果が正常終了でない場合(ステップS3132のNO)、即ち、認証ICカード3が偽変造されている可能性がある場合、偽変造検証部73は、その旨のメッセージを表示装置115に表示して偽変造検証処理を中断する。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
偽変造検証結果が正常終了の場合(ステップS3132のYES)、偽変造検証部73は、ICアクセス部72が一次保存領域に保存した身分証情報から顔写真を取得して表示装置115に表示し、オペレータ(窓口審査担当者等)に、顔写真と利用者1uの顔との一致を目視確認で行わせ、その目視確認結果を入力させる(ステップS3133)。
偽変造検証部73は、偽変造検証及び目視確認結果とに基づいて、本人確認の最終判断を行う(ステップS3134)。偽変造検証が正常終了かつ目視確認結果が本人確認である場合、偽変造検証部73は、本人であると最終判断する。偽変造検証が正常終了であっても目視確認結果が本人確認できないことを示す場合(ステップS3134のNO)、偽変造検証部73は、偽変造検証処理を中断する。この場合、利用者1uは、窓口審査担当者等のオペレータの指示に従う。
本人であると最終判断した場合(ステップS3134のYES)、偽変造検証部73は、暗証番号等の預りサービスの利用有無を確認してもよい。利用者1uが預りサービスを利用しない場合、暗証番号等の秘匿情報は、利用者1uが管理するものと判断し、預りデータの更新処理を終了する。一方、利用者1uから預りサービスの利用について承諾を得た場合、以下の処理が更に行われる。
預り情報登録部74による預り情報登録処理が行われる(ステップS3140)。ステップS3140において、預り情報登録部74では、以下の処理を行う。
預り情報登録部74は、ステップS3175において生成した暗号鍵で預りデータ251を暗号化する(ステップS3141)。預りデータ251には、暗証番号、電子署名等が含まれる。
預り情報登録部74は、管理番号と、カスタマIDと、身分証IDと、暗号化した預りデータ251とを、データ預りサーバ200に送信し、利用者1uの預りデータ251を更新する(ステップS3142)。預り情報登録部74は、預り情報更新処理を終了する。また、システム1000における預りデータ251の更新処理が終了する。
ステップS3142における、預り情報登録部74による預りデータ251のデータ預りサーバ200への送信によって、データ預りサーバ200では、預り情報書込部76による預りDB更新処理が行われる(ステップS3260)。ステップS3260において、預り情報書込部76では、以下の処理を行う。
預り情報書込部76は、クライアント端末100から預りデータ251を受信すると、管理番号をキーとして使用して、預りDB250を検索し、利用者1uの預りデータ25を読み込む(ステップS3261)。
預り情報書込部76は、預りデータ251の暗証番号を書き換えて、預りDB250を更新する(ステップS3262)。預りDB250内の利用者1uの預りデータ251の更新後、預り情報書込部76は、預りDB更新処理を終了する。
次に、実施例におけるシステム1000での生体情報351の追加・再登録処理について説明する。図12及び図13は、実施例におけるシステムでの生体情報の追加・再登録処理を説明するための処理シーケンスを示す図である。
図12において、クライアント端末100では、券面読取部71による券面読取処理が行われる(ステップS4110)。ステップS4110において、券面読取部71では、以下の処理を行う。
券面読取部71は、公的身分証である認証ICカード3のアプリケーション識別子(AID)で身分証の種別を識別して、身分証IDに設定する(ステップS4111)。
そして、券面読取部71は、身分証IDで認証ICカード3の券面の様式を判断し、記載事項をOCR認識し、管理番号(ID)を生成する(ステップS4112)。OCR認識に係る処理は上述した通りである。管理番号は、後続処理で使用するため、記憶部130の一次保存領域に、生成した管理番号を一次格納される。券面読取部71による券面読取処理は終了する。
次に、預り情報参照部77による預り情報参照処理が行われる(ステップS4170)。ステップS4170において、預り情報参照部77では、以下の処理を行う。
預り情報参照部77は、管理番号をデータ預りサーバ200へ送信して、カスタマIDと、預りデータ251とを取得する(ステップS4171)。データ預りサーバ200から預りデータ251を取得できなかった場合、預り情報参照部77は、預り情報参照処理を中断し、システム1000での預りデータ251の参照処理は終了する。
データ預りサーバ200から預りデータ251を取得できた場合、預り情報参照部77は、利用者1uから生体情報351を取得する(ステップS4172)。
そして、預り情報参照部77は、カスタマID、生体種別、及び生体情報351を、生体認証サーバ300に送信して、生体認証による本人確認を行う(ステップS4173)。預り情報参照部77は、生体認証の照合結果より本人か否かを判断する(ステップS4174)。生体認証エラーの通知を受けた場合(ステップS4174のNO)、預り情報参照部77は、預り情報参照を中断する。また、システム1000での預りデータ251の参照処理が終了する。或いは、生体認証が正しく行われなかったと判断し、ステップS4172へ戻り、再度、利用者1uから生体情報351を取得し、上述同様の処理を繰り返してもよい。即ち、生体認証をリトライしてもよい。また、オペレータ(窓口審査担当者等)に、顔写真と利用者1uの顔との一致を目視確認で行わせ、本人確認が取れた場合には処理を続行させてもよい。生体認証が成功した場合(ステップS4174のYES)、
預り情報参照部77は、カスタマイズIDを記憶部130の一次保存領域に記憶して、預り情報参照処理を終了する。
ステップS4171における、預り情報参照部77による管理番号のデータ預りサーバ200への送信によって、データ預りサーバ200では、預り情報読込部78による預り情報読込処理が行われる(ステップS4280)。ステップS4280において、預り情報読込部78では、以下の処理を行う。
預り情報読込部78は、クライアント端末100から受信した管理番号をキーとして、預りDB250から預りデータ251を検索し(ステップS4281)、管理番号に対応付けられた預りデータ251が存在したか否かを判断する(ステップS4282)。預りデータ251が存在しない場合(ステップS4282のNO)、預り情報読込部78は、預り情報読込処理を終了する。
預りデータ251が存在する場合(ステップS4282のYES)、預り情報読込部78は、カスタマIDと預りデータとを依頼元のクライアント端末100へ送信する(ステップS4283)。その後、預り情報読込部78は、預り情報読込処理を終了する。
ステップS4173における、預り情報参照部77による生体情報351の生体認証サーバ300への送信によって、生体認証サーバ300では、生体認証部79による生体認証処理が行われる(ステップS4390)。ステップS4390において、生体認証部79では、以下の処理を行う。
生体認証部79は、クライアント端末100から受信したカスタマIDと生体種別とを用いて生体情報DB350における照合対象を絞り込み、受信した生体情報351と照合対象とで1対N照合を行う(ステップS4391)。
そして、生体認証部79は、照合結果を、依頼元のクライアント端末100へ送信し(ステップS4392)、生体認証処理を終了する。
図13を参照して、クライアント端末100では、預り情報登録部74による生体情報追加・再登録処理が行われる(ステップS4140)。ステップS4140において、預り情報登録部74では、以下の処理を行う。
預り情報登録部74は、利用者1uから生体情報351を取得する(ステップS4141)。利用者1uから入力された生体情報351を生体情報読取装置6から受信することで、利用者1uの生体情報351を取得する。利用者1uによる生体情報351の入力は、生体認証時の認証精度の平準化を図るため、複数回の生体情報を取得し、取得した生体情報の各々とで照合を行い、同一人性と認証精度の担保を行う。本実施例では、生体情報351は3回入力されるものとし、1回目と2回目の生体情報の照合、1回目と3回目の生体情報の照合、2回目と3回目の生体情報の照合を行い、取得した生体情報の同一人性と認証精度の担保を行っている。
預り情報登録部74は、生体情報351を正しく取得できたか否かを判断する(ステップS4142)。正しく取得できなかった場合(ステップS4142のNO)、預り情報登録部74は、ステップS4141へと戻り、更に、利用者1uから生体情報351を取得する。
一方、生体情報351を正しく取得できた場合(ステップS4142のYES)、預り情報登録部74は、カスタマIDと、生体種別と、生体情報351とを、生体認証サーバ300に送信し、生体情報351を追加または再登録する(ステップS4143)。本実施例では、預り情報登録部74は、1回目、2回目、及び3回目の生体情報351のうち、1回目と2回目の生体情報351を生体認証サーバ300に送信する。
生体情報351の送信後、預り情報登録部74は、生体情報追加・再登録処理を終了する。そして、システム1000での生体情報351の追加・再登録処理が終了する。
ステップS4143における、預り情報登録部74による生体情報351の生体認証サーバ300への送信によって、生体認証サーバ300では、生体情報登録部75による生体情報351の追加・再登録処理が行われる(ステップS4390)。ステップS4390において、生体情報登録部75では、以下の処理を行う。
生体情報登録部75は、クライアント端末100から受信したカスタマIDと生体種別とをキーとして生体情報DB350を検索し(ステップS4391)、カスタマIDと生体種別とが一致する生体情報が存在したか否かを判断する(ステップS4392)。生体情報が存在しない場合(ステップS4392のNO)、生体情報登録部75は、受信した生体情報351の追加登録するため、ステップS4394へ進む。生体情報が存在する場合(ステップS4392のYES)、生体情報登録部75は、受信した生体情報351の再登録を行うため、カスタマIDと生体種別とが一致する全ての生体情報を生体情報DB350から削除する(ステップS4393)。この削除では、「00」固定の値の生体種別は検索されない。
生体情報登録部75は、生体情報登録IDを採番する(ステップS4394)。そして、生体情報登録部75は、採番した生体情報登録IDと、受信したカスタマID、生体種別、及び1回目の生体情報とを、生体情報DB350に登録する(ステップS4395)。
更に、生体情報登録部75は、生体情報登録IDを採番する(ステップS4396)。そして、生体情報登録部75は、採番した生体情報登録IDと、受信したカスタマID、生体種別、及び2回目の生体情報とを、生体情報DB350に登録する(ステップS4397)。そして、生体情報登録部75は、生体情報の追加・再登録処理を終了する。
生体情報351の再登録処理では、パスフレーズ341は変更されず、初期登録時のパスフレーズ341が継続して使用される。
また、生体情報351の追加登録によっても、パスフレーズ341が変更されることはない。初期登録時のパスフレーズ341が継続して使用される。即ち、初期登録時と同じ生体種別であっても、異なる生体種別であっても、生体認証後には、初期登録時のパスフレーズ341がクライアント端末100に提供される。
上述したように、生体情報351の初期登録時に定めた、パスフレーズ341の作成用の生体情報351は、生体情報351の再登録及び追加登録において、削除されることなく維持される。
つまり、生体情報351の再登録及び追加登録後に、生体認証を行う場合であっても、生体情報351の初期登録以降は常に同じ生体情報351からパスフレーズ341が生成される。
従って、本実施例では、生体情報351の初期登録後、再登録後、及び追加登録後のいずれであっても、生体情報351の揺らぎに左右されずに、クライアント端末100は、パスフレーズ341を用いて、預りデータ251を復号することができる。
日本国においては、2020年オリンピック・パラリンピック東京大会を見据え、2013年12月10日に閣議決定された「世界一安全な日本」創造戦略においても、サイバー犯罪事後追跡可能性の確保や特殊詐欺などの対策として、本人確認を必要とする窓口において本人確認の更なる徹底が求められている。また、犯罪収益移転防止法においても同様の対応が求められている。本人確認の徹底には、本人の身元を証明する公的身分証の真正性を担保することが不可避であり、公的身分証の偽変造検証の機会が増加されると考えられる。
このような状況において、本実施例の適用により、高精度な公的身分証の検証を行いつつ、検証者及び被検証者に対して高い利便性を実現できる。
第1に、生体情報351の活用による重要な個人情報の安心かつ安全な保管維持を実現できる。
これまで実現が困難とされた、生体情報351を用いて暗号鍵を生成し、暗証番号等の重要な個人情報を安心かつ安全に保管維持することを実現できる。
登録した暗証番号等の情報の取得は、生体認証による厳正な本人認証により、これまで以上の高いセキュリティ対策を実現できる。
また、データ預りサーバ200の預りDB250に登録する暗証番号等の預りデータ251の暗号化及び復号は、身分証の所持人(利用者1u)の生体情報351を利用して暗号鍵を生成することで、暗号鍵を生成するためのパスワードなどの利用者1uの記憶に頼らず行える。預りデータ251の安心かつ安全な保管維持が実現できる。
暗号鍵が、身分証の所持人毎に異なることから、万が一の情報漏えいに対する影響を最小限にできる。
第2に、暗証番号登録の際に、生体情報351より生成するパスフレーズ341を用いることで、パスフレーズ341のランダム性を向上させ、セキュリティに強い暗号鍵や暗証番号などの自動生成が可能となる。
第3に、これまで記憶に頼っていた暗証番号等の情報を預かりサービスにて、安心かつ安全に保管することで、2回目以降の利用において、所持人による暗証番号等の入力が不要となり、暗証番号の忘却対策が実現できる。
第4に、検証済み電子署名との照合により、署名・証明書検証処理の効率化を実現できる。また、個人番号カード3cの場合、個人番号カード3cの有効性検証に係る手数料を削減できる。
第5に、身分証の真贋チェックおよび所持人の本人確認(顔画像の目視確認)が的確に行われていることを前提として、2回目からは預りDB250に登録されている生体情報351を活用した生体認証により厳正な本人認証が可能となり、所持人本人の顔画像による目視確認作業が不要となり、本人確認作業の省力化と精度向上が図れる。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、主々の変形や変更が可能である。
以上の実施例を含む実施形態に関し、更に以下の付記を開示する。
(付記1)
生体情報読取装置から複数の生体情報を取得し、
取得した前記複数の生体情報と、パスフレーズの生成に用いる生体情報を特定する特定情報とを生体情報記憶部に記憶させ、
前記生体情報と前記特定情報に基づいて生成されたパスフレーズを取得し、
取得した前記パスフレーズを用いて秘匿情報を暗号化し、
暗号化した前記秘匿情報を秘匿情報記憶部に記憶させる
処理をコンピュータが行う秘匿情報記憶方法。
(付記2)
前記コンピュータは、
生体情報読取装置から生体情報を取得し、
前記秘匿情報記憶部から前記秘匿情報を取得し、
取得した前記生体情報と生体情報記憶部に記憶されている複数の生体情報とを照合させ、
照合できた生体情報から前記特定情報を用いて特定される生体情報を用いて生成されたパスフレーズを取得し、
取得した前記パスフレーズを用いて前記秘匿情報を復号する処理を行うことを特徴とする付記1記載の秘匿情報記憶方法。
(付記3)
前記コンピュータは、
前記特定情報は、取得した前記複数の生体情報の各々に対して付与された登録IDの1つが設定され、前記生体情報に紐付く利用者を識別する利用者識別子であり、
前記利用者識別子はパスフレーズと共に取得し、
前記秘匿情報を前記パスフレーズを用いて暗号化し、
暗号化された前記秘匿情報を、前記秘匿情報の取得元のICカードを識別するカード識別子と、取得した前記利用者識別子とに対応付けて前記秘匿情報記憶部に記憶する
処理を行うことを特徴とする付記1記載の秘匿情報記憶方法。
(付記4)
前記コンピュータは、
前記ICカードを識別するカード識別子を取得し、
前記カード識別子を用いて、前記秘匿情報記憶部から前記秘匿情報および前記利用者識別子を取得し、
生体情報読取装置から生体情報を取得し、
取得した前記利用者識別子および前記生体情報を用いて生体情報記憶部に記憶されている複数の生体情報とを照合させ、
照合できた生体情報前記特定情報にて特定される生体情報を用いて生成されたパスフレーズを取得し、
取得した前記パスフレーズを用いて前記秘匿情報を復号する、
処理を行うことを特徴とする付記3記載の秘匿情報記憶方法。
(付記5)
前記パスフレーズの生成に用いる生体情報は、前記特定情報に対応付けて前記生体情報記憶部に記憶され、
取得した前記複数の生体情報の各々は、該複数の生体情報に係る生体部位を特定する生体種別と共に前記生体情報記憶部に記憶され、
前記生体情報記憶部において、前記特定情報で特定される前記生体情報を圧縮することで、前記パスフレーズが生成される
ことを特徴とする付記1記載の秘匿情報記憶方法。
(付記6)
前記コンピュータは、更に、
カード読取装置からカードの券面を読み取った情報を受信すると、読み取った該情報を用いて前記ICカードを識別する前記カード識別子を生成する
処理を行う付記4記載の秘匿情報記憶方法。
(付記7)
前記コンピュータは、更に、
取得した前記生体情報が照合一致し、且つ、前記秘匿情報が照合一致した場合に、前記秘匿情報記憶部に記憶された該秘匿情報を、変更後の秘匿情報に置き換える
処理を行う付記4記載の秘匿情報記憶方法。
(付記8)
カード読取装置からカードの券面を読み取った情報を受信すると、読み取った該情報を用いて管理番号を生成し、
秘匿情報記憶部から前記管理番号に関連付けられた、前記カードの所有者に係る利用者識別子と、該所有者の秘匿情報とを取得し、
生体情報読取装置から取得した前記カスタマIDに関連づけられた生体情報に基づいて生体認証による本人確認を行い、
生体情報読取装置から同一人物の複数の第1の生体情報を受信すると、前記生体情報記憶部に既に前記利用者識別子と関連付けて記憶されている第2の生体情報に加えて、該利用者識別子に関連付けて、受信した前記複数の第1の生体情報を記憶する
処理をコンピュータが行う秘匿情報記憶方法。
(付記9)
カード読取装置からカードの券面を読み取った情報を受信すると、読み取った該情報を用いて管理番号を生成し、
秘匿情報記憶部から前記管理番号に関連付けられた、前記カードの所有者に係る利用者識別子と、該所有者の秘匿情報とを取得し、
生体情報読取装置から取得した前記利用者識別子に関連づけられた生体情報に基づいて生体認証による本人確認を行い、
生体情報読取装置から同一人物の複数の第1の生体情報を受信すると、前記生体情報記憶部に既に前記利用者識別子と関連付けて記憶されている第2の生体情報に加えて、該利用者識別子に関連付けて、受信した前記複数の第1の生体情報を記憶する
処理をコンピュータが行う秘匿情報記憶方法。
(付記10)
生体情報読取装置から同一人物の複数の生体情報を受信すると、該複数の生体情報の1つに基づいてパスフレーズを生成し、
少なくとも生成した前記パスフレーズを用いて暗号鍵を生成し、
生成した前記暗号鍵を用いて秘匿情報を暗号化し、
暗号化した前記秘匿情報を秘匿情報記憶部に記憶する
処理をコンピュータが行う情報処理端末。
(付記11)
生体情報読取装置から複数の生体情報を取得し、
取得した前記複数の生体情報と、パスフレーズの生成に用いる生体情報を特定する特定情報とを生体情報記憶部に記憶させ、
前記生体情報と前記特定情報に基づいて生成されたパスフレーズを取得し、
取得した前記パスフレーズを用いて秘匿情報を暗号化し、
暗号化した前記秘匿情報を秘匿情報記憶部に記憶させる
処理をコンピュータに実行させる秘匿情報記憶プログラム。